Authentification unique (SSO) pour Adobe Acrobat Sign

L’adoption de l’authentification unique (SSO) transforme l’accès aux applications pour des travailleurs numériques lassés par la gestion des identifiants. Au lieu de s’authentifier sur des applications et des services à l’aide d’un nombre impossible à mémoriser d’identifiants différents, le SSO permet aux équipes IT de masquer une sécurité d’accès complexe derrière un seul nom d’utilisateur et un seul mot de passe.

Un service cloud pour lequel le SSO est de plus en plus demandé afin de renforcer la sécurité des accès est la plateforme de signature électronique Adobe Acrobat Sign (anciennement Adobe Sign).

La capacité à envoyer, recevoir et suivre des documents signés — un processus presque aussi ancien que le travail lui-même — nécessitait une mise à niveau. Aujourd’hui, des plateformes cloud comme Adobe Acrobat Sign accomplissent cette tâche de manière numérique, et les organisations comme les particuliers utilisent ce service de plus en plus.

Proposé comme un service Adobe Cloud et géré via la console Adobe, Acrobat Sign offre aux clients l’accès à toute une gamme de fonctionnalités avancées, notamment la vérification d’identité, le stockage sécurisé de documents, la protection par mot de passe et l’expiration des accès, ainsi qu’une intégration étroite avec le format PDF d’Adobe et Microsoft Word.

Les organisations souhaitent conclure leurs affaires plus rapidement, ce qui implique de déployer Acrobat Sign auprès d’un plus grand nombre de collaborateurs. L’un des moyens les plus simples d’y parvenir est le SSO.

Les employés bénéficient du SSO pour Adobe Acrobat Sign car ils n’ont besoin de mémoriser qu’un seul mot de passe. Cela améliore l’expérience utilisateur et favorise la productivité. Les administrateurs y gagnent également. Ils peuvent notamment limiter le nombre d’identifiants utilisateurs en circulation, ce qui réduit le risque que l’un d’eux tombe entre de mauvaises mains.

Surtout, le SSO facilite l’application de politiques de sécurité sur l’accès aux services cloud, y compris Adobe Acrobat Sign. Par exemple, les administrateurs peuvent activer l’authentification multifacteur (MFA) ou imposer des politiques de mot de passe. Malgré ces avantages, la configuration et la conception du SSO peuvent rester complexes lorsqu’il s’agit d’applications spécifiques comme Adobe Acrobat Sign.

Bien que SAML 2.0 ait facilité la mise en place de l’authentification entre plusieurs services tels qu’Adobe Acrobat Sign, la technologie peut encore engendrer des problèmes cachés qui varient de manière imprévisible selon les organisations.

Dans la majorité des entreprises, les employés doivent utiliser un mélange d’applications locales (sur site), d’applications héritées et de logiciels SaaS tiers hébergés dans le cloud.

Dans le cadre du SSO, relier ces différents environnements peut représenter un défi de déploiement et créer une complexité supplémentaire.

Par exemple, les applications sur site et héritées sont rarement compatibles avec le SSO ou avec des technologies de sécurité telles que la MFA, qui doivent être mises en œuvre simultanément pour sécuriser l’accès. Même certaines applications cloud peuvent encore nécessiter une intégration via des API. Inévitablement, chaque contournement et chaque intégration supplémentaire augmentent la complexité et les coûts de gestion.

Or, la complexité est mauvaise pour la sécurité, car elle réduit la certitude et la maîtrise des contrôles.

Dans la course à l’adoption des services cloud, il est facile d’oublier que les organisations ne peuvent pas simplement abandonner leurs applications sur site. Elles doivent trouver une solution pratique leur permettant de conserver l’infrastructure locale dans laquelle elles ont déjà massivement investi, tout en tirant parti des nouvelles plateformes SaaS.

L’importance de la sécurité et du contrôle des accès est amplifiée avec le SSO, qui constitue une interface unique qu’un attaquant pourrait exploiter pour cibler plusieurs applications au sein d’une organisation. De même, le nombre croissant de cyberattaques visant les fournisseurs d’IdP rappelle que la sécurité ne peut jamais être considérée comme acquise lorsqu’un tiers est impliqué.

Les acteurs malveillants peuvent également cibler directement Adobe Sign, en détournant le service pour diffuser des emails de phishing. Les attaquants savent que ce système de documents est désormais suffisamment répandu pour que des employés peu méfiants ouvrent une pièce jointe semblant provenir d’un compte légitime sur la même plateforme.

Comme l’a si bien dit l’oncle Ben à Peter Parker : « Un grand pouvoir implique de grandes responsabilités. » Trouver l’équilibre entre pouvoir et responsabilité est d’autant plus crucial dans le contexte du SSO.

Si vous travaillez dans l’une des rares organisations entièrement cloud, l’accès à Acrobat Sign via le SSO est relativement simple. Les outils natifs et le service d’annuaire de votre IdP cloud assurent généralement l’intégration et la majeure partie du travail.

Pour tous les autres — les organisations qui utilisent largement des applications on-premise — le recours au SSO avec un IdP nécessite un important travail de cartographie et de contournement.

Heureusement, il existe une autre option, moins complexe : UserLock, une solution de gestion des identités et des accès (IAM) conçue pour simplifier la mise en œuvre du SSO pour les organisations investies dans Active Directory on-premise.

Concrètement, UserLock peut agir comme une interface entre le monde sur site et celui du SSO et du cloud. Cela présente plusieurs avantages par rapport à l’utilisation exclusive d’un IdP tiers.

Tout d’abord, votre organisation peut continuer à utiliser l’annuaire Microsoft AD sur site existant. Cela permet de gagner un temps considérable et de réduire la complexité par rapport à une intégration via une plateforme IdP tierce. Les administrateurs peuvent continuer à provisionner les accès utilisateurs à l’aide des comptes, services, rôles, stratégies de groupe et mots de passe déjà en place. De plus, UserLock permet d’appliquer un véritable SSO en utilisant les identifiants Windows des utilisateurs pour l’accès aux applications SaaS.

En d’autres termes, le SSO UserLock relie les environnements on-premise et cloud depuis une console unique, tout en permettant aux administrateurs de définir toute une gamme de contrôles d’accès et de sécurité.

Cette intégration réduit également la probabilité que des applications professionnelles soient utilisées avec des comptes personnels. Les administrateurs peuvent intégrer de nouvelles applications cloud via SAML 2.0, sans goulots d’étranglement ni retards de mise en œuvre.

En outre, UserLock regroupe plusieurs contrôles de sécurité sous une seule interface. C’est un point clé dans un contexte SSO, où l’accès peut impliquer simultanément plusieurs types de connexions, par exemple VPN, RDP, machines virtuelles et connexion Windows.

Pour Acrobat Sign, l’utilisateur se rend sur la page de connexion Adobe Sign ou Adobe ID du service, qui redirige de manière transparente vers le SSO Active Directory UserLock. L’utilisateur est alors authentifié à l’aide de ses identifiants AD existants, avec une demande de MFA si nécessaire. Du point de vue de l’utilisateur, il s’agit simplement du processus de connexion standard qu’il a déjà effectué de nombreuses fois.

Un domaine doit d’abord être configuré pour le service Acrobat Sign. Des informations complémentaires sont disponibles sur le site d’assistance d’Adobe.

1. Ouvrez la console Acrobat Sign, cliquez sur Account, puis développez Account settings dans le volet de gauche.

2. Sélectionnez SAML settings, choisissez un nom d’hôte, puis ajoutez l’ID d’entité / URL Issuer UserLock :
   https://sso.contoso.com

3. Ajoutez ensuite https://sso.contoso.com/saml/sso dans Login URL / SSO Endpoint

4. Et https://sso.contoso.com/saml/slo dans Login URL / SLO Endpoint

5. Récupérez le certificat SSO UserLock depuis Quick Access dans la console UserLock. Ouvrez-le dans un éditeur de texte et copiez l’intégralité du contenu dans le champ IdP Certificate.

6. Téléchargez le certificat Acrobat Sign.

7. Consultez les instructions détaillées d’Adobe pour l’authentification SAML fédérée.

1. Dans la console UserLock, accédez à Single Sign-On > Configuration, sélectionnez Add configuration, puis Adobe Sign comme fournisseur à configurer.

2. Indiquez le nom d’hôte choisi dans la console Acrobat Sign depuis la page des paramètres SAML (voir le point 2 ci-dessus), au format contoso.eu1.echosign.com.

3. Renseignez l’issuer http://echosign.com, ainsi que le domaine de messagerie utilisé par le service Acrobat Sign pour connecter les utilisateurs. Ajoutez le certificat Acrobat Sign téléchargé (voir point 6).

4. Enregistrez le profil et redémarrez le service pour initier le SSO.

5. Téléchargez le certificat SSO UserLock depuis Quick Access dans le panneau de droite. Ouvrez-le dans un éditeur de texte et copiez l’intégralité du contenu dans le champ IdP Certificate.

Pour en savoir plus, consultez le guide de configuration Adobe Acrobat Sign de UserLock.